Auf dieser Seite werden Policy Controller-Bundles beschrieben, sowie eine Übersicht über die verfügbaren Richtlinien-Bundles.
Mit dem Policy Controller können Sie einzelne Einschränkungen auf Ihren Cluster anwenden oder eigene benutzerdefinierte Richtlinien schreiben. Sie können auch Richtlinien-Bundles verwenden, mit denen Sie Ihre Cluster prüfen können, ohne Einschränkungen zu schreiben. Richtlinien-Bundles sind eine Gruppe von Einschränkungen, mit denen Sie Best Practices anwenden, Branchenstandards erfüllen oder regulatorische Probleme in Ihren Clusterressourcen lösen können.
Sie können Richtlinien-Bundles auf Ihre vorhandenen Cluster anwenden, um zu prüfen, ob Ihre Arbeitslasten konform sind. Wenn Sie ein Richtlinien-Bundle anwenden, wird Ihr Cluster durch Anwenden von Einschränkungen mit dem Erzwingungstyp dryrun
geprüft. Mit dem Erzwingungstyp dryrun
können Sie Verstöße sehen, ohne Ihre Arbeitslasten zu blockieren. Es wird außerdem empfohlen, nur die Erzwingungsaktionen warn
oder dryrun
für Cluster mit Produktionsarbeitslasten zu verwenden, wenn Sie neue Einschränkungen testen oder Migrationen wie Plattformupgrades durchführen. Weitere Informationen zu Erzwingungsaktionen finden Sie unter Auditing mit Einschränkungen.
Ein Typ von Richtlinien-Bundle ist beispielsweise das CIS-Kubernetes-Benchmark-Bundle, mit dem Ihre Clusterressourcen anhand der CIS-Kubernetes-Benchmark geprüft werden können. Diese Benchmark besteht aus einer Reihe von Empfehlungen für die Konfiguration von Kubernetes-Ressourcen, um ein hohes Sicherheitsniveau zu erreichen.
Richtlinien-Bundles werden von Google erstellt und verwaltet. Weitere Details zur Richtlinienabdeckung, einschließlich der Abdeckung pro Bundle, finden Sie im Policy Controller-Dashboard.
Richtlinien-Bundles sind in einer Lizenz der Google Kubernetes Engine (GKE) Enterprise-Version enthalten.
Verfügbare Policy Controller-Bundles
In der folgenden Tabelle sind die verfügbaren Richtlinien-Bundles aufgeführt. Wählen Sie den Namen des Richtlinien-Bundles aus, um zu lesen, wie Sie das Bundle anwenden, Ressourcen prüfen und Richtlinien erzwingen.
In der Spalte Bundle-Alias wird der Name des Bundles mit einem einzelnen Token aufgelistet. Dieser Wert ist erforderlich, um ein Bundle mit Google Cloud CLI-Befehlen anzuwenden.
In der Spalte Frühste enthaltene Version ist die früheste Version aufgeführt, in der das Bundle mit Policy Controller verfügbar ist. Das bedeutet, dass Sie diese Bundles direkt installieren können. In jeder Version von Policy Controller können Sie weiterhin jedes verfügbare Bundle installieren. Folgen Sie dazu der Anleitung in der Tabelle.
Name und Beschreibung | Bundle-Alias | Frühste enthaltene Version | Typ | Enthält referenzielle Einschränkungen |
---|---|---|---|---|
CIS-GKE-Benchmark: Prüfung der Compliance Ihrer Cluster mit der CIS-GKE-Benchmark v1.5, einer Reihe empfohlener Sicherheitskontrollen zum Konfigurieren von Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Kubernetes-Standard | Ja |
CIS-Kubernetes-Benchmark: Prüfen Sie die Compliance Ihrer Cluster mit der CIS-Kubernetes-Benchmark v1.5, einer Reihe von Empfehlungen zur Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes-Standard | Ja |
CIS-Kubernetes-Benchmark (Vorschau): Prüfen Sie die Compliance Ihrer Cluster mit der CIS-Kubernetes-Benchmark v1.7, einer Reihe von Empfehlungen zur Konfiguration von Kubernetes für einen hohen Sicherheitsstatus. | cis-k8s-v1.7.1 |
nicht verfügbar | Kubernetes-Standard | Ja |
Kosten und Zuverlässigkeit: Mit dem Kosten- und Zuverlässigkeits-Bundle können Sie Best Practices zum Ausführen kosteneffizienter GKE-Cluster umsetzen, ohne die Leistung oder Zuverlässigkeit von Arbeitslasten zu beeinträchtigen. | cost-reliability-v2023 |
1.16.1 | Best Practices | Ja |
MITRE (Vorschau): Mit dem MITRE-Richtlinien-Bundle können Sie die Compliance Ihrer Clusterressourcen anhand einiger Aspekte der MITRE-Wissensdatenbank von Angreifertaktiken und -techniken bewerten. Weltbeobachtungen. | mitre-v2024 |
nicht verfügbar | Industriestandard | Ja |
Pod-Sicherheitsrichtlinie: Wenden Sie Schutzmaßnahmen an, die auf der Kubernetes Pod-Sicherheitsrichtlinie (PSP) basieren. | psp-v2022 |
1.15.2 | Kubernetes-Standard | Nein |
Referenz der Pod-Sicherheitsstandards: Wenden Sie Schutzmaßnahmen an, die auf der grundlegenden Richtlinie für die Kubernetes Pod-Sicherheitsstandards (PSS) basieren. | pss-baseline-v2022 |
1.15.2 | Kubernetes-Standard | Nein |
Pod-Sicherheitsstandards eingeschränkt: Wenden Sie Schutzmaßnahmen an, die auf der eingeschränkten Richtlinie für Kubernetes-Pod-Sicherheitsstandards (PSS) basieren. | pss-restricted-v2022 |
1.15.2 | Kubernetes-Standard | Nein |
Anthos Service Mesh-Sicherheit: Prüfen Sie die Compliance Ihrer Sicherheitslücken und Best Practices von Anthos Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best Practices | Ja |
Policy Essentials: Wenden Sie Best Practices auf Ihre Clusterressourcen an. | policy-essentials-v2022 |
1.14.1 | Best Practices | Nein |
NIST SP 800-53 Rev. 5: Das NIST SP 800-53 Rev. 5-Bundle implementiert die in der NIST Sonderveröffentlichung (SP) 800-53, Revision 5 aufgeführten Steuerelemente. Das Paket kann Organisationen dabei helfen, ihre Systeme und Daten vor einer Vielzahl von Bedrohungen zu schützen, indem es sofort einsatzbereite Sicherheits- und Datenschutzrichtlinien implementiert. | nist-sp-800-53-r5 |
1.16.0 | Industriestandard | Ja |
NIST SP 800-190: Das NIST SP 800-190-Bundle implementiert die Kontrollen, die in der NIST Sonderveröffentlichung (SP) 800-190, Application Container Security Guide aufgeführt sind. Das Bundle soll Organisationen bei der Sicherheit von Anwendungscontainern unterstützen, einschließlich Image-Sicherheit, Containerlaufzeitsicherheit, Netzwerksicherheit und Hostsystemsicherheit. | nist-sp-800-190 |
1.16.0 | Industriestandard | Ja |
NSA CISA Kubernetes Härtungsleitfaden v1.2: Wenden Sie Schutzmaßnahmen basierend auf dem NSA CISA Kubernetes Härtungsleitfaden v1.2 an. | nsa-cisa-k8s-v1.2 |
1.16.0 | Industriestandard | Ja |
PCI-DSS v3.2.1 (verworfen): Wenden Sie Schutzmaßnahmen an, die auf dem Datensicherheitsstandard der Zahlungskartenindustrie (Payment Card Industry Data Security Standard, PCI-DSS) v3.2.1 basieren. | pci-dss-v3.2.1 oder pci-dss-v3.2.1-extended |
1.15.2 | Industriestandard | Ja |
PCI-DSS v4.0: Wenden Sie Schutzmaßnahmen an, die auf dem Payment Card Industry Data Security Standard (PCI-DSS) v4.0 basieren. | pci-dss-v4.0 |
nicht verfügbar | Industriestandard | Ja |
Nächste Schritte
- Policy Controller kostenlos testen
- Weitere Informationen zum Anwenden einzelner Einschränkungen.
- Best Practices auf Ihre Cluster anwenden
- Lesen Sie eine Anleitung zur Verwendung von Richtlinien-Bundles in Ihrer CI/CD-Pipeline, um nach links zu verschieben.